Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ssdeep
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
miyamoto
May 24, 2017
Technology
0
1.4k
ssdeep
about ssdeep fuzzyhash
miyamoto
May 24, 2017
Tweet
Share
Other Decks in Technology
See All in Technology
AIエージェントを開発しよう!-AgentCore活用の勘所-
yukiogawa
0
110
[CV勉強会@関東 World Model 読み会] Orbis: Overcoming Challenges of Long-Horizon Prediction in Driving World Models (Mousakhan+, NeurIPS 2025)
abemii
0
100
2026年、サーバーレスの現在地 -「制約と戦う技術」から「当たり前の実行基盤」へ- /serverless2026
slsops
2
220
Bedrock PolicyでAmazon Bedrock Guardrails利用を強制してみた
yuu551
0
190
顧客との商談議事録をみんなで読んで顧客解像度を上げよう
shibayu36
0
200
セキュリティについて学ぶ会 / 2026 01 25 Takamatsu WordPress Meetup
rocketmartue
1
290
プロダクト成長を支える開発基盤とスケールに伴う課題
yuu26
4
1.3k
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
kworkdev
PRO
1
420
We Built for Predictability; The Workloads Didn’t Care
stahnma
0
140
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
zepprix
0
430
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
42k
ファインディの横断SREがTakumi byGMOと取り組む、セキュリティと開発スピードの両立
rvirus0817
1
1.2k
Featured
See All Featured
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
techseoconnect
PRO
0
84
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
2.1k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.1k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
0
140
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
120
Rebuilding a faster, lazier Slack
samanthasiow
85
9.4k
My Coaching Mixtape
mlcsv
0
47
Optimising Largest Contentful Paint
csswizardry
37
3.6k
YesSQL, Process and Tooling at Scale
rocio
174
15k
DevOps and Value Stream Thinking: Enabling flow, efficiency and business value
helenjbeal
1
92
A Modern Web Designer's Workflow
chriscoyier
698
190k
Transcript
ファジーハッシュについて 宮本
ファジーハッシュ:類似マルウェアへ対応するために 従来のハッシュの問題点: 4バイトだけ異なる2つのマルウェア検体。ハッシュを計算すると全く違う値。 4バイトをランダムに書き換えて新しいマルウェアを大量に作成する場合、 作成可能なハッシュの異なるマルウェアの数は、2564=約43億通り。 →ハッシュ値を使ったレピュテーションで対応するのは困難→ファジーハッシュ 2
VirusTotalでもファジーハッシュ ファイルの類似を調べる ssdeep:ファジーハッシュ →ファイルの全体的な類似 authentihash,imphash →実行ファイルの部分一致 ssdeep 3
ssdeep値のフォーマット 「:」が区切り目 「:」が区切り目 3×2nで表すブロックサイズ 64未満分割チェックサム連結値 32未満分割チェックサム連結 値 イメージ 図 ファイルを分割し、各分割ブロックごとに1文字のチェックサムを出して連結する
ファイルが類似していると、結果も類似するという特徴 ファイル チェックサム 連結値 4
使用例 4つのマルウェア検体(イメージ) ほぼ共通だけど、最後の0.3%だけランダム文字列な4検体 5
VirusTotalで「追加情報」を確認してみると ファイル1 ファイル2 ファイル3 ファイル4 6
ssdeepだけ拡大 ファイル1のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFp: V8p57YZ8jUMlrb3e807QPxjy1 ファイル2のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFR: V8p57YZ8jUMlrb3e807QPxjyF ファイル3のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFH: V8p57YZ8jUMlrb3e807QPxjyr
ファイル4のssdeep値 3072:5f2+b0QUvhzaW3LYZmhjU6zloI4b4eI4weQ50zGQS2Qmuuy2Fw7deCkTu6bFN: V8p57YZ8jUMlrb3e807QPxjyB 「1ブロック違うだけで他は共通の類似ファイル:98%一致」という比較結果 赤字は異なる部分 7
8 機械学習を利用したマルウェア検知 実行前にファイルを静的解析し、機械学習で構築した既知のマルウェア 情報データベースと比較し、類似している物を検知しブロックする ファイルから抽出する情報: • ファイルタイプ、証明書、アイコン、画面リソース、テキスト • パッカー、コンパイラ、コンパイル時間、エントリーポイント •
インポートハッシュ(関数呼出しの一致) • ファジーハッシュ(ファイル類似性) Suspicious Origin Packed or Encrypted Suspicious URL New Application Suspicious Email Low Age Certificate Document Type Low Prevalence High # of Rapid Changes Suspicious Email Link クラウドに集めた マルウェアの情報と 類似しているか比較